Anmelden Registrieren

Cookies verwalten

Wir verwenden Cookies, um die Seitennavigation zu verbessern, die Nutzung zu analysieren und unsere Marketingaktivitäten zu unterstützen. Sie können diese Cookies akzeptieren oder ablehnen.

Datenschutz
Guide · DACH

Integritätsnachweis für Belege

Zuletzt aktualisiert: März 2026 · Lesezeit: ca. 8 Minuten

Kurzfassung

Eine Datei zu speichern reicht nicht. Im Ernstfall (etwa bei einer Steuerprüfung) muss nachweisbar sein, dass ein Beleg unverändert ist und schon damals so vorlag. Zedl löst das automatisch im Hintergrund: Du lädst einen Beleg hoch, der Rest passiert von selbst. Du brauchst nichts einzustellen. Und du hast im Zweifelsfall einen belastbaren Nachweis.

Warum einfaches Speichern nicht reicht

Stell dir vor, du wirst zu einem Beleg aus dem Vorjahr befragt. Die Datei ist noch da. Gut. Aber woher weiß ein Prüfer, dass diese Datei tatsächlich unverändert ist und nicht erst gestern angepasst wurde? Ein normaler Cloud-Ordner, ein Dateiserver, sogar viele Buchhaltungsprogramme ohne zusätzliche Absicherung können diese Frage nicht beantworten.

In Österreich, Deutschland und der Schweiz ist genau das aber gefordert: nicht nur dass Belege vorhanden sind, sondern dass sie nachweisbar unverändert aufbewahrt wurden. Bloßes Speichern erfüllt das nicht.

Dateien lassen sich lautlos verändern

Wer Zugriff auf eine Datei hat, kann sie ändern, ohne dass jemand von außen sieht, ob und wann das passiert ist.

Zedl berechnet beim Upload einen digitalen Fingerabdruck. Jede spätere Änderung würde sofort auffallen.

Ein gespeichertes Datum ist kein Beweis

Das „Änderungsdatum" einer Datei lässt sich leicht anpassen. Wer wann was hochgeladen hat, lässt sich ohne externen Nachweis nicht belegen.

Zedl holt den Zeitstempel von einer unabhängigen externen Stelle. Der Zeitpunkt ist damit beweisbar, nicht nur behauptet.

Anbieter-Vertrauen reicht nicht aus

„Unser System ist sicher" ist keine Antwort, die vor einer Behörde zieht. Ein Prüfer braucht etwas, das er selbst nachprüfen kann, unabhängig vom Anbieter.

Der Zedl-Nachweis stammt von einer neutralen dritten Partei und lässt sich vollständig ohne Zedl unabhängig prüfen.

Was ein Integritätsnachweis ist

Stell dir einen unabhängigen Notar vor, der eine Kopie deines Belegs hinterlegt und schriftlich bestätigt: Diese Datei habe ich am [Datum] in dieser Form vorliegen gehabt. Ändert sich später auch nur ein Zeichen in der Datei, stimmt der Abgleich nicht mehr. Das ist, vereinfacht gesagt, das Prinzip hinter einem Integritätsnachweis:

1

Digitaler Fingerabdruck der Datei (SHA-256-Hash)

Aus dem Inhalt jeder Originaldatei wird eine eindeutige Kennzahl berechnet, wie ein Fingerabdruck. Ändert sich auch nur ein einziges Zeichen in der Datei, sieht dieser Fingerabdruck völlig anders aus. Das macht nachträgliche Änderungen zuverlässig erkennbar, egal wie klein sie sind.

2

Bestätigung durch eine unabhängige Stelle (RFC 3161 Zeitstempel-Authority)

Dieser Fingerabdruck wird an eine unabhängige, externe Stelle übermittelt. Diese bestätigt mit ihrer Signatur: Dieser Fingerabdruck lag mir am [genaues Datum und Uhrzeit] vor. Das ist kein Zedl-eigener Stempel, sondern der Nachweis einer neutralen dritten Partei, die nichts mit Zedl zu tun hat.

3

Nachweis wird dauerhaft beim Beleg gespeichert

Fingerabdruck, Zeitstempel und der signierte Nachweis werden beim Beleg abgelegt und nie gelöscht. Zedl vergleicht bei jeder Prüfung den aktuellen Fingerabdruck der Datei mit dem ursprünglichen. Stimmt etwas nicht überein, siehst du das sofort und kannst handeln.

Wie Zedl das im Hintergrund erledigt

Vollautomatisch: Du musst nichts konfigurieren, nichts einschalten, nichts beachten.

Sobald du einen Beleg hochlädst

Zedl berechnet sofort den digitalen Fingerabdruck der Originaldatei, die du hochgeladen hast (SHA-256-Hash). Nicht des Vorschaubilds, nicht einer Kopie. Nur die Datei in genau dem Zustand, in dem sie bei dir war.

Ein unabhängiger Dienst bestätigt den Zeitpunkt

Dieser Fingerabdruck wird an einen unabhängigen, öffentlichen Zeitstempel-Dienst übermittelt (gemäß Standard RFC 3161). Dieser Dienst bestätigt mit seiner Signatur, wann genau der Fingerabdruck bei ihm eingegangen ist, und gibt einen signierten Nachweis zurück. Welcher Dienst verwendet wurde, ist im Nachweis selbst festgehalten, damit er auch in Jahren noch nachvollziehbar ist.

Warum eine externe Stelle? Ein Zeitstempel, den Zedl selbst ausstellt, wäre kein unabhängiger Nachweis. Die externe Authority ist eine neutrale dritte Partei. Ihr Nachweis ist unabhängig und daher vertrauenswürdig.

Was dauerhaft gespeichert wird

Alles, was für eine spätere Prüfung relevant sein könnte:

  • Digitaler Fingerabdruck der Originaldatei (SHA-256-Hash)
  • Zeitpunkt der Berechnung
  • Status des externen Zeitstempels (abgesichert / fehlgeschlagen / ausstehend)
  • Name der verwendeten externen Stelle (Zeitstempel-Authority)
  • Der signierte Nachweis selbst (TSA-Token)
  • Exakter Zeitpunkt des externen Zeitstempels

Automatische Prüfung im laufenden Betrieb

Zedl vergleicht regelmäßig, ob der heutige Fingerabdruck der gespeicherten Datei noch mit dem ursprünglichen übereinstimmt. Solange alles in Ordnung ist, passiert nichts. Du siehst es gar nicht. Nur wenn es eine Abweichung gibt, zeigt Zedl das an.

Alle Nachweise exportierbar, falls du sie brauchst

Du wirst das im Alltag nie brauchen. Aber wenn eine Behörde oder ein Prüfer nachfragt: Alles ist im vollständigen Datenexport enthalten, erreichbar unter Einstellungen › Alle Daten herunterladen.

Was im Export steckt

Jeder exportierten Belegdatei liegt eine Begleitdatei bei (JSON-Sidecar). Diese enthält den vollständigen Nachweis: Fingerabdruck, verwendetes Verfahren, Status und Zeitpunkt des externen Zeitstempels, Name der externen Stelle sowie den signierten Nachweis selbst, und eine Angabe, ob die exportierte Datei noch dem ursprünglichen Fingerabdruck entspricht. 

{
  "integrity_hash_sha256": "e3b0c44298fc1c149afb...",
  "integrity_hash_algorithm": "sha256",
  "integrity_tsa_status": "sealed",
  "integrity_tsa_provider": "rfc3161_freetsa",
  "integrity_tsa_authority": "freetsa.org",
  "integrity_tsa_timestamp": "2026-03-20T14:32:11Z",
  "integrity_tsa_proof_blob": "MIIHqDADAgEA...",
  "integrity_hash_matches_exported_file": true
}

Das Feld, das alles auf einen Blick sagt: integrity_hash_matches_exported_file

true: Die exportierte Datei stimmt exakt mit dem gespeicherten Fingerabdruck überein. Alles unverändert, Nachweis gültig.

false: Es gibt eine Abweichung. Die exportierte Datei stimmt nicht mehr mit dem Fingerabdruck überein, der beim ursprünglichen Zeitstempel erfasst wurde. Das ist ein Warnsignal.

null: Kein Fingerabdruck vorhanden, keine Aussage möglich.

Manuelle Verifikation

Für technisch versierte Prüfer

Dieser Abschnitt richtet sich an Wirtschaftsprüfer, IT-Auditoren oder technisch versierte Steuerberater, die einen Integritätsnachweis unabhängig und kryptographisch verifizieren wollen oder müssen. Für den alltäglichen Betrieb ist das nicht notwendig. Zedl führt die Prüfung automatisch im Hintergrund durch und zeigt den Status am Beleg an.

Voraussetzungen: exportiertes ZIP (Einstellungen → Alle Daten herunterladen), sowie die Kommandozeilen-Tools sha256sum, openssl und jq. Alle drei sind auf Linux und macOS standardmäßig verfügbar.

1

Datei-Hash berechnen und vergleichen

Den SHA-256-Hash der exportierten Belegdatei berechnen und mit dem Wert aus der Sidecar-JSON vergleichen:

sha256sum BELEGDATEI.pdf

Der ausgegebene Hash muss exakt dem Wert in integrity_hash_sha256 entsprechen.

2

TSA-Nachweis extrahieren

Das signierte Zeitstempel-Token aus der JSON-Sidecar in eine Datei dekodieren:

jq -r '.integrity_tsa_proof_blob' SIDECAR.json \
  | base64 --decode > proof.tsr
3

Zeitstempel-Inhalt prüfen

Den Inhalt des Zeitstempel-Tokens mit OpenSSL lesbar machen:

openssl ts -reply -in proof.tsr -text

Prüfen: Hash-Algorithmus ist SHA-256, der Message-Imprint-Wert stimmt mit dem berechneten Datei-Hash überein.

4

TSA-Signatur kryptographisch verifizieren

Mit dem Zertifikats-Bundle der verwendeten Authority die Signatur vollständig verifizieren:

openssl ts -verify \
  -data BELEGDATEI.pdf \
  -in proof.tsr \
  -CAfile tsa_root.pem \
  -untrusted tsa_intermediates.pem

Erwartetes Ergebnis: Verification: OK. Das Zertifikats-Bundle muss aus einer vertrauenswürdigen Quelle kommen, z. B. direkt von der Authority-Website.

Was der Integritätsnachweis nicht ist

Der Nachweis beweist: Diese Datei existierte spätestens zu diesem Zeitpunkt und sieht heute noch genauso aus. Das ist ein starker und wichtiger Baustein für die gesetzliche Aufbewahrung, aber kein vollständiges Compliance-Paket. Für eine rundum ordnungsgemäße digitale Archivierung sind auch die Nachvollziehbarkeit von Metadatenänderungen und länderspezifische Anforderungen relevant.

Der Integritätsnachweis belegt: Diese Datei existierte spätestens zu diesem Zeitpunkt in genau dieser Form. Er ersetzt keine steuerrechtliche Beratung und stellt keine pauschale Rechtskonformität her. Für Fragen zur gesetzlichen Aufbewahrungspflicht in deinem Land: Guide zu den Aufbewahrungsfristen in AT/DE/CH →

Wie Zedl das löst

Deine Belege sind sicher. Und du kannst es beweisen.

Zedl erledigt das vollautomatisch im Hintergrund: Jeder hochgeladene Beleg bekommt einen digitalen Fingerabdruck, der durch eine unabhängige externe Stelle mit Zeitstempel bestätigt wird. Du musst dafür nichts tun. Und wenn du es jemals brauchst, hast du einen vollständigen, exportierbaren Nachweis.

Mehr erfahren Kostenlos starten

Weiterführende Guides

Aufbewahrungspflichten AT/DE/CH

Guide · DACH

Belege digital an den Steuerberater übergeben

Guide · DACH

Belegscanner für Freelancer in Deutschland

Guide · Deutschland

Belege scannen

Guide · Grundlagen